Estafas por App bancaria

Publicado por GKawa, Septiembre 29, 2020, 03:54:07 PM

Tema anterior - Siguiente tema

publicweb

Cita de: Armandvs en Septiembre 30, 2020, 06:42:28 PM
bahia blanca hoy
https://www.labrujula24.com/notas/2020/09/30/denuncia-que-le-vaciaron-la-cuenta-en-donde-tenia-40-mil-pesos-n83105/

la damnificada esta comentiendo un error...
hace la denuncia en el banco
y se sienta a esperar

ahi esta el error
hay que ir a la cana
https://www.argentina.gob.ar/denunciar-un-delito-informatico

hay que hacer kilombo

EL BANCO NUNCA NUNCA JAMAS VA A ADMITIR QUE TE ESTAFARON USANDO SU SUPER APP

HAY QUE METER A LA JUSTICIA DE POR MEDIO
funcionará para la mierda
eso es otra cosa

pero si te sentas a ver que te dice el banco... ¿que te va a decir?
que las transacciones fueron hechas con tus claves !!
o sea... otra forma de decirte que las hiciste vos o tu pibe que sabe tus claves

pasas de victima del robo a hijo de puta que queres cagar al banco no reconociendo cosas que compraste
o al menos ese es su juego psicologico

A LA CANA SEÑORES !!!

fiscal en cibercrimen de la Procuración General de la Nación, Dr. Horacio Azzolin, cibercrimen@mpf.gov.ar, teléfono de contacto, 6089-9000, interno N° 9266.

División Delitos Tecnológicos de la Policía Federal Argentina.
Cavia 3350 1° Ciudad Autónoma de Buenos Aires.
Tel. 4800-1120/4370-5899.
Correo electrónico: delitostecnologicos@policiafederal.gov.ar

Tu guita no la vas a ver nunca mas
pero por lo menos TAL VEZ los pones en evidencia y evitas que le pase a otro

SAMUEL

Cita de: publicweb en Septiembre 30, 2020, 09:25:35 PM
HAY QUE METER A LA JUSTICIA DE POR MEDIO
funcionará para la mierda
eso es otra cosa

No toda la justicia funciona mal, lo aseguro por experiencia propia. La justicia está al servicio del ciudadano, no teman hacer (buen) uso de ella.

germany.yeah

Cita de: murdock en Septiembre 30, 2020, 06:52:14 PM
Ahí estuve investigando un poco más, están usando exploits de las SS7 para afanarse los SMS de validación. No son tan boludos entonces, guarda.

Asi es, estaba hablando con un amigo que labura en seguridad informatica y me comentaba que esto ya sucede en europa, de alguna forma mantienen la linea "viva" con la llamada y monitorean los sms.. cuando llega el del banco lo chupan y fuiste, pero tambien pueden pinchar llamdas telefonicas y la ubicacion del equipo (algo que ya se hacia con la ex SIDE)
https://www.scmagazine.com/home/security-news/cybercriminals-are-exploiting-flaws-in-ss7-a-protocol-used-by-telecom-companies-to-coordinate-how-they-route-texts-and-calls-around-the-world-to-empty-bank-accounts/

https://www.firstpoint-mg.com/blog/ss7-attack-guide/

publicweb

Cita de: germany.yeah en Octubre 01, 2020, 12:04:08 AM
Asi es, estaba hablando con un amigo que labura en seguridad informatica y me comentaba que esto ya sucede en europa, de alguna forma mantienen la linea "viva" con la llamada y monitorean los sms.. cuando llega el del banco lo chupan y fuiste, pero tambien pueden pinchar llamdas telefonicas y la ubicacion del equipo (algo que ya se hacia con la ex SIDE)
https://www.scmagazine.com/home/security-news/cybercriminals-are-exploiting-flaws-in-ss7-a-protocol-used-by-telecom-companies-to-coordinate-how-they-route-texts-and-calls-around-the-world-to-empty-bank-accounts/

https://www.firstpoint-mg.com/blog/ss7-attack-guide/

excelente articulo
pero dice que el atacante debe tener acceso al usuario y pass de homebanking
lo cual... no es facil

To carry out the attack,  the threat actor typically first needs a target's online banking username and password, if the bank asks for confirmation code sent via text message, the threat actors use the exploit to intercept the message and gain access to the account.

GKawa

Cita de: publicweb en Octubre 01, 2020, 07:50:19 AM
pero dice que el atacante debe tener acceso al usuario y pass de homebanking
Depende del banco. En este caso, supuestamente y guiándome por la info disponible, el banco ni siquiera usa autenticación por SMS. Están hablando de two-factors authentication. Es un término muy genérico que comprende cualquier método donde un servicio use dos medios (idealmente independientes) para identificarte. Lo que estuve viendo es que han usado en otros lugares SMS como autenticación, token de seguridad temporario, no como 2WA.

El otro tema es que cuando lo usan para recuperar user/pass no te pueden estar pidiendo user/pass. Y he visto que usan métodos casi infantiles. No estoy hablando de bancos o en particular este banco. Está el método para registrar líneas de celular que podés responder con mínima info disponible públicamente para, no voy a decir la mayoría, pero una gran cantidad de personas. Si el sistema funcionara, casi todo el país tendría un celular registrado a su nombre a esta altura porque todos los no registrados supuestamente se cancelaron. En servicios web el cuestionario es muy similar.

publicweb

Cita de: SAMUEL en Septiembre 30, 2020, 11:26:44 PM
No toda la justicia funciona mal, lo aseguro por experiencia propia. La justicia está al servicio del ciudadano, no teman hacer (buen) uso de ella.

yo no puedo decir lo mismo
una enfermera que cuidaba a mi viejo en su lecho de muerte recibió por correo mi tarjeta banelco
a los pocos dias recibió mi PIN

y con las 2 cosas se fue de gira por los cajeros 6 dias consecutivos
sacando la plata de mi cuenta hasta que se terminó

el fiscal IMPECABLE
me cito en fiscalia
vi los videos de la HDP con su marido en el cajero sacando mi plata
armó la causa contra los 2 y la mandó al juzgado

voy al juzgado a preguntar... y me dicen...
reproduzco dialogo:

YO- vengo a averiguar por la causa xxx-nn
EMPLEADO DEL JUZGADO- ah... si... la citamos a la sra... pero no se presentó

YO- Flaco... OBVIO que no se va a presentar, es una causa donde podria terminar en cana !!!!
EMPLEADO DEL JUZGADO- Y... si...

YO- Y entonces.... como sigue???
EMPLEADO DEL JUZGADO- y... es que no se presentó

YO- Y mandale un patrullero !!!
EMPLEADO DEL JUZGADO- Es que la sra no vino aca a notificarse de la causa...

YO- ¿vos me estas cargando?
EMPLEADO DEL JUZGADO- No... es así...

YO- Y que va a pasar...
EMPLEADO DEL JUZGADO- y... se va a archivar el expediente....

YO- gracias flaco, espactacular lo de ustedes
EMPLEADO DEL JUZGADO- que tengas un buen dia..

publicweb

Cita de: GKawa en Octubre 01, 2020, 08:07:57 AM
Depende del banco. En este caso, supuestamente y guiándome por la info disponible, el banco ni siquiera usa autenticación por SMS. Están hablando de two-factors authentication. Es un término muy genérico que comprende cualquier método donde un servicio use dos medios (idealmente independientes) para identificarte. Lo que estuve viendo es que han usado en otros lugares SMS como autenticación, token de seguridad temporario, no como 2WA.

El otro tema es que cuando lo usan para recuperar user/pass no te pueden estar pidiendo user/pass. Y he visto que usan métodos casi infantiles. No estoy hablando de bancos o en particular este banco. Está el método para registrar líneas de celular que podés responder con mínima info disponible públicamente para, no voy a decir la mayoría, pero una gran cantidad de personas. Si el sistema funcionara, casi todo el país tendría un celular registrado a su nombre a esta altura porque todos los no registrados supuestamente se cancelaron. En servicios web el cuestionario es muy similar.
si, eso es verdad

GKawa

Cita de: germany.yeah en Octubre 01, 2020, 12:04:08 AM
mantienen la linea "viva" con la llamada y monitorean los sms..
Esa era mi duda. Si están impersonando un nodo de control de SS7, interceptan el SMS y el subscriptor lo recibe también.
Me sigue quedando la duda... cómo hicieron el resto?
El agujero del banco es el que no termino de entender.

publicweb

Cita de: GKawa en Octubre 01, 2020, 08:53:54 AM
Esa era mi duda. Si están impersonando un nodo de control de SS7, interceptan el SMS y el subscriptor lo recibe también.
Me sigue quedando la duda... cómo hicieron el resto?
El agujero del banco es el que no termino de entender.

complice en el banco?

sardo

Cita de: publicweb en Septiembre 30, 2020, 01:21:08 PM
Hace aproximadamente 15 años un amigo me contó la siguiente anécdota:

Mi amigo trabajaba como técnico de sistemas en la casa central de un conocidísimo banco de la República Argentina (es un banco privado no estatal). No lo voy a mencionar pero está entre los cinco bancos que se te ocurren cuando te pido que menciones banco de Argentina.

Mi amigo trabajaba haciendo guardias nocturnas desde las 11 de la noche a las siete de la mañana en la casa central como técnico de sistemas.

Había un ingeniero en sistemas que era el que hacía el mantenimiento de todo el sistema informático. Este ingeniero de sistemas le insistía (demasiado) que si el sistema se colgaba lo llamase por teléfono a la hora que sea que él venía y lo solucionaba.

Y así pasaba, en promedio una vez a la semana el sistema se colgaba, llamaba al ingeniero, y el ingeniero en sistemas rápidamente se presentaba con una infalibilidad propia de Suiza o Alemania.

El ingeniero solucionaba la cosa y todo seguía normalmente.

A mi amigo siempre le llamó la atención con la que el ingeniero se presentaba eficientemente aunque sean las 4:15 de la mañana...

Aproximadamente al año salto la cosa...

El ingeniero hacía robo hormiga, en cientos, tal vez miles de cuentas, robaba algunos pesos o algunos centavos...

En menos de dos años se había comprado una casa para él en capital Federal, otra casa para él en Carlos paz, Córdoba, un auto nuevo, y una casa para el padre...

El banco llegó a un arreglo con el ingeniero el cual se mantuvo en forma confidencial por lo tanto mi amigo no tenía mucha data, pero se decía que el ingeniero había tenido que vender una de las casas y hasta ahí había llegado todo.

El banco jamás hizo acciones legales.

El banco jamás supo con cuánta guita los estafó el ingeniero en sistemas.

El cálculo exacto era virtualmente imposible...

Simplemente se limitaron a echarlo.


El banco entendió que la plata no la recuperaría nunca, que jamás sabría cuál era el importe exacto, y que lo único que iba a suceder si lo hacía público era que iba a perder más imagen para no recuperar nada. O sea que si hacia juicio o denuncia penal o lo que sea al ingeniero de sistemas lo único que iba a pasar era que iba a perder imagen...

El banco jamás va a admitir que por Instagram o por donde sea alguien puede hackear y robar plata.

Eso sería admitir que el sistema de ellos es vulnerable. Eso sería una pérdida potencial de clientes importante


La única forma de que esto se haga realmente público es que uno presente absolutamente todas las pruebas de cómo se hizo la estafa... Y obviamente un particular jamás va a poder hacer eso.

La gente del banco seguramente sabe que su aplicación o lo que sea tiene un agujero de seguridad; posiblemente están trabajando ya en eso... Pero jamás lo van a admitir.

aca en Tucuman tambien paso algo parecido hace años, el encargado de los cajeros automaticos , Hizo su popio sistema de cajero y lo ejecutaba cuando el disponia, luego lo eliminaba y dejaba correr el verdadero.. hasta que le dieron la cana.. por varias denuncias , y porque el tipo empeso a comprarse cosas caras.

sardo

Cita de: publicweb en Octubre 01, 2020, 02:23:49 PM
complice en el banco?

para mi que si, a mi vieja la llamaron para sacarle datos de la cuenta, pero como no tiene idea no paso nada, hay varias estafas de esas, como es posible que te saquen dinero por transferencia si no tenes la clave del homebanking. o la tarjeta

nueces5

veamos, para los que no entendemos muchos de sistemas y apps
esto se soluciona no teniendo app bancarias en el celular?

GKawa

Cita de: nueces5 en Octubre 01, 2020, 09:06:49 PM
veamos, para los que no entendemos muchos de sistemas y apps
esto se soluciona no teniendo app bancarias en el celular?
No soy un experto en el tema pero nunca me gustó la idea de la app bancaria en Android o en OS, ni hablar de Symbian. Yo entiendo la "practicidad", tal como lo escribí, entre comillas. Quién necesita que su acceso al banco sea omnipresente? Al punto de tener que usar una app. Web... creo que podrían mejorar mucho la seguridad, pero ahí paro. De hecho, hasta ahí uso.

El tema de la app, lo empiezo a ver desde el balance. Me olvido del riesgo, pero si realmente no es un beneficio, el balance no da. Seguramente haya alguien que me diga que su actividad bancaria es tan pero tan intensa que le salva la vida. Si fuera mi caso, usaría mejores opciones, tendría mi oficina portátil (como la he tenido en otras épocas) pero no usaría la app en el teléfono.

Dicho esto, el modelo de seguridad del Android es horrible. No tengo idea del OS, he escuchado cosas tan malas como las que he visto en Android. Les doy un ejemplo, el otro día puteaba porque me instalé un modelo nuevo (nuevo para mí, un Android 5). Mientras lo configuraba, abrí el visor de imágenes. Me pidió permisos de acceso. Storage, OK, tiene que abrir los archivos. Contactos? Llamadas? Control de la WiFi? Las puedo explicar todas mostrando buenas intenciones. Pero es tan al pedo todo eso. Entonces, le dije que no. Y me quedé sin visor de imágenes. No puedo controlar mi propia seguridad, no puedo otorgar permisos en base a mis deseos y necesidades. Te ponen contra la pared y te dicen bala o cuchillo. Qué clase de seguridad es esa? Y esto es el ejemplo tonto, vayan a ver los permisos que les están dando a todas sus apps. Hay algunas que tienen TODOS los permisos. No les digo que el desarrollador los está crackeando mal, es más, casi garantizado que no tiene idea que los está pidiendo ni los está usando. Lo dejó por default, es más fácil eso que ponerse a pensar que permisos necesita. El tema es que están corriendo una app que es dueña del aparato.

Dejando eso de lado. Vayan a ver en configuraciones, uso de datos y batería. Quién es el principal consumidor en sus Androids? Yo tengo una app que corre casi permanente, un administrador y player de podcasts. Es mi radio personal, elijo lo que quiero, me organiza las cosas por prioridad, fecha, etc. Si no estoy en una reunión, está andando. Son horas y horas de reproducción diaria. En comparación, no llego a una hora de llamadas al mes. Sin embargo, mi app más usada aparece al fondo de la lista, siempre! El top es Google, Google Play, infraestructura de Google. Desde ya que usa los recursos del teléfono para todas sus marranadas. No les digo que sea malintencionado a nivel diabólico. Hacen todo lo necesario para "mejorar sus experiencias". Pero eso tampoco me preocupa. Lo preocupante es que TODAS las apps usan la infraestructura de Google, que no es la de base del Android. No es casualidad que haya millones de aplicaciones disponibles. Esto no es mérito de Android, que es un lindo sistema, es mérito de Google, que puso a disposición de los desarrolladores una infraestructura mucho más accesible y completa. Entonces, no tengo necesidad de complicarme con el stack de red de Android, le digo a Google que me haga la conexión, que me controle la sesión, que me envíe y reciba paquetes. El GPS es otro ejemplo. No hay aplicaciones que usen el GPS directamente, se puede hacer pero no he visto ninguna. Van por el sistema de localización de Google. Prueben, prenden el GPS, Google les pregunta si quieren mejorar la precisisón. Le dicen que no y se los va a volver a preguntar cada vez. Le dicen que sí, no les vuelve a romper las pelotas jamás. Y no usa el GPS, usa una integración del GPS, inferencia basada en las celdas visibles y los access points WiFi que están alrededor. Es cierto, ir por la infraestructura de Google es más fácil, y en algunos casos es obligatorio. Insisto, no les desconfío a los de Google. Tampoco les confío. Digo que están todos los huevos en la misma canasta y eso en seguridad no se hace.


Ahora con este caso